Neuer Virus, Wurm, Trojaner? Wer kann mir helfen?

Sevenstar_418df2 · 26. August 2002 um 19:55

Zur Zeit scheint wiedereinmal ein besonders gemeiner Virus unterwegs zu sein. Ich habe eben eine Mail bekommen, die keinen Text und keinen Betreff enthielt, deren Anhang sich aber, ohne nachzufragen, selbst installierte. Danach passierte nichts Auffälliges. Ich bemerkte nur, daß das System immer langsamer wurde. Im Taskmanager entdeckte ich einen Prozess mit Namen

Winkmqx.exe ,

der fast 90% der Rechenleistung vereinnahmte. Das Programm arbeitete also an irgend etwas ziemlich schwer. Verdächtig, da es auch fast 7 MB Speicher weggnahm.
Was allerdings noch verdächtiger war: Der Prozeß ließ sich nicht beenden, der Zugriff wurde verweigert.
Ich habe mich dann auf die Suche nach dem Programm gemacht und feststellen müssen, daß es auf meiner Platte keine einzige Winkmqx.exe gibt.
Gleich darauf meldete mir die Firewall, daß ein Programm namens Winkmqx.exe Kontakt mit dem Internet aufnehmen wolle, und ob ich das zulassen wolle. Ich habe alles auf „Blockieren“ gestellt.
Im Logbuch der Firewall entdeckte ich später, daß das Programm Winkmqx.exe ganze 488 mal versucht hatte, verschiedene Internethosts anzuwählen, was ihm durch die Firewall zum Glück nicht gelungen war:

Firewall Event Log
26.08.2002 09:42:16.206 Rule „Winkmqx.exe“ blocked (smtp.verizon.net,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1569)
Remote address,service is (smtp.verizon.net,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:15.896 Rule „Winkmqx.exe“ blocked (smtp.hammondelec.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1567)
Remote address,service is (smtp.hammondelec.com,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:15.745 Rule „Winkmqx.exe“ blocked (25.0.0.0,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1566)
Remote address,service is (25.0.0.0,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:15.445 Rule „Winkmqx.exe“ blocked (smtp.21cn.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1564)
Remote address,service is (smtp.21cn.com,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:14.914 Rule „Winkmqx.exe“ blocked (smtp.hongkong.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1562)
Remote address,service is (smtp.hongkong.com,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:14.754 Rule „Winkmqx.exe“ blocked (smtp.hammondelec.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1561)
Remote address,service is (smtp.hammondelec.com,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:14.474 Rule „Winkmqx.exe“ blocked (smtp.hammondelec.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1560)
Remote address,service is (smtp.hammondelec.com,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:42:14.373 Rule „Winkmqx.exe“ blocked (25.0.0.0,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1559)
Remote address,service is (25.0.0.0,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:32:09.033 Rule „Winkmqx.exe“ blocked (smtp.difac.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1552)
Remote address,service is (smtp.difac.com,smtp)
Process name is „Winkmqx.exe“
26.08.2002 09:32:08.893 Rule „Winkmqx.exe“ blocked (smtp.hongkong.com,smtp). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1551)
Remote address,service is (smtp.hongkong.com,smtp)
Process name is „Winkmqx.exe“

Usw…

Wie erkennbar hat Winkmqx.exe versucht, ausschließlich smtp-Hosts anzuwählen, also, im Klartext, Emails zu versenden - offenbar Adressen bei verschiedenen großen Providern.

Eine Suche nach in den letzten 12 Stunden neu erstellten Programm-Dateien ergab, daß 8.37 Uhr, also ungefähr zu dem Zeitpunkt, als ich die verdächtige Email geöffnet habe, eine Datei mit Namen „Oxjcp.bat“ im Ordner c:\dokumente und einstellungen\user\lokale einstellungen\temp erstellt worden ist. Es handelt sich bei genauerer Betrachtung jedoch nicht um eine normale Stapelverarbeitungsdatei sondern ebenfalls um ein Programm. Allerdings fand ich, trotz daß ich die Datei verschoben habe, Winkmqx nach Neustart des Rechners erneut in der Prozeßliste - und kurze Zeit später 488 blockierte Versuche, ins Netz zu gelangen.

Ich nehme an, es handelt sich bei Winkmqx um einen Email-Wurm. Bis jetzt habe ich noch keinen Schaden am Dateisystem feststellen können, lediglich eine Verlängerung der Rechenzeit ist zu bemerken.

Kennt jemand das Phänomen? Weiß jemand, wie ich dieses Programm wieder entfernen kann? Mein Rechner wird immer langsamer. Der Prozess ist nur mittels Debug-Modus von Visual C++ zu entfernen. Eine halbe Stunde später ist er aber bereits wieder da und schickt 488 Mails…

Anonym · 26. August 2002 um 20:35

wink*.exe: KLEZ?
Hallo Sevenstar,

das müsste der KLEZ sein:
http://www.trojaner-info.de/virenwarnungen/warnungen…
vierter Eintrag von oben:
W32/Klez.h (18.04.2002)

Da steht, was er macht und gibt einen Hinweis auf Removal-Tools.
Auch bei wer-weiss-was gab es schon verschiedene Antworten, wie man ihn wegbekommt: im Archiv nach „KLEZ“ suchen.

Viel Erfolg
Gitte

Anonym · 27. August 2002 um 10:34

Hilfe naht !
Moin Basti,

(…) besonders gemeiner Virus (…)
Ich habe eben eine Mail bekommen, die keinen Text und keinen Betreff enthielt,
deren Anhang sich aber, ohne nachzufragen, selbst installierte.

Ich frage mich immer wieder, wie so etwas funktionieren soll.
Bei meinem Mailprogrammm installiert sich nichts selbst, ohne vorher nachzufragen. Da kann sich nämlich nix selbst installieren. Und wenn man heutzutage noch solche Programme verwendet (OE ?), ist man leider _selbst schuld_.
Und das ist auch nicht besonders gemein, sondern liegt einfach in der Natur der Sache. So wie wenn man sein Haus offenlässt und ein Plakat anbringt: „Wertsachen letzte Schublade rechts“.

Gleich darauf meldete mir die Firewall, daß ein Programm
namens Winkmqx.exe Kontakt mit dem Internet aufnehmen wolle,
und ob ich das zulassen wolle. Ich habe alles auf „Blockieren“
gestellt.

Wenigstens etwas Glück hast Du vielleicht noch gehabt: Deine Firewall wurde anscheinend nicht abgeschaltet.

Im Logbuch der Firewall entdeckte ich später, daß das Programm
Winkmqx.exe ganze 488 mal versucht hatte, verschiedene
Internethosts anzuwählen, was ihm durch die Firewall zum Glück
nicht gelungen war:

Wie sicher bist Du Dir da ?

Kennt jemand das Phänomen? Weiß jemand, wie ich dieses
Programm wieder entfernen kann?

Das Phänomen nennt sich „Risikolust“.
Die Lösung ist:
1.) format c:
2.) Linux installieren
oder
3.) Windows neuinstallieren und vernünftige Programme einsetzen. Mit Tip 3 werde ich mir zwar etwas Unmut einhandeln, aber auch Windows ist einigermaßen sicher zu bekommen.

Gruß,
Jürgen

PS: Die Gallerien auf Deiner Seite funktionieren nicht.
Dabei sahen sie so vielversprechend aus …

Anonym_028940377b35 · 27. August 2002 um 10:52

Ich habe eben eine Mail bekommen, die keinen Text und keinen :Betreff enthielt, deren Anhang sich aber, ohne nachzufragen, selbst :installierte.

Du möchtest bitte umgehend alle nötigen Massnahmen ergreifen, damit so etwas in Zukunft nicht mehr passieren kann. Sprich, im Minimum Dein Mailprogramm (vermutlich Outlook (Express)) entsprechend konfigurieren oder, noch besser, ein anderes Mailprogramm zulegen. Mein Tip: The Bat!

Alles andere ist heutzutage grobfahrlässig bis verantwortungslos.

CU
Peter